UNC3886: Nuovo Attore di Minaccia di Cyber-Spionaggio di Origine Cinese Sfrutta Le Zero-Day di Fortinet & VMware, Malware Personalizzati per un’Attività di Spionaggio a Lungo Termine
Indice:
Nel Q1 2024, i gruppi Advanced Persistent Threat (APT) provenienti da Cina, Corea del Nord, Iran e Russia hanno dimostrato capacità offensive significativamente migliorate e innovative per portare avanti campagne di cyber-spionaggio sofisticato. Questo aumento di attività ha posto notevoli sfide al panorama globale della sicurezza informatica. Recentemente, gli esperti di sicurezza hanno rivelato l’attività del gruppo Velvet Ant collegato alla Cina infiltrandosi nei dispositivi F5 BIG-IP per circa tre anni per distribuire malware e rubare dati sensibili. Tuttavia, ogni nuovo giorno c’è una nuova APT sotto i riflettori. I difensori informatici individuano il nuovo attore connesso alla Cina noto come UNC3886 che si affida a un toolkit malevolo sofisticato per orchestrare operazioni di cyber-spionaggio a lungo termine.
Rilevamento degli attacchi UNC3886
The l’analisi di UNC3886 dal Google´s Threat Intelligence Team basato sulla ricerca di Mandiant indica che l’attore della minaccia sfrutta un ampio toolkit malevolo, incluso lo sfruttamento di zero-day di VMware (CVE-2022-22948, CVE-2023-20867) e Fortinet (CVE-2022-41328), rootkit disponibili pubblicamente, backdoor SSH, campioni di malware personalizzati e multipli meccanismi persistenti. Data la complessità della loro infrastruttura malevola e la capacità di non farsi notare durante lo spionaggio di lunga durata, le organizzazioni dovrebbero essere dotate di algoritmi e strumenti di rilevamento pertinenti per identificare proattivamente e resistere a potenziali intrusioni.
La piattaforma SOC Prime aggrega la stack di rilevamento pertinente basata sui risultati della ricerca del Google´s Threat Intelligence Team. Basta premere il Pulsante Esplora Rilevamenti qui sotto e accedere immediatamente alla collezione di regole, accompagnata da estese metadati, collegamenti CTI e riferimenti ATT&CK.
Tutti i rilevamenti sono compatibili con oltre 30 tecnologie SIEM, EDR e Data Lake e allineati al framework MITRE ATT&CK.
I difensori informatici in cerca di una copertura di rilevamento più ampia per un’indagine approfondita delle minacce possono utilizzare il Threat Detection Marketplace (TDM) di SOC Prime per cercare regole e query rilevanti corrispondenti a CVE, malware, tecnica ATT&CK o qualsiasi altro elemento di interesse. TDM aggrega oltre 300.000 algoritmi di rilevamento e contesto rilevante su qualsiasi cyber attacco o minaccia, inclusi zero-day, riferimenti CTI e MITRE ATT&CK e strumenti Red Team.
Analisi degli Attacchi UNC3886
I difensori hanno scoperto l’attività di cyber-spionaggio a lungo termine collegata al gruppo cinese tracciato come UNC3886. Secondo la ricerca di Mandiant sulle operazioni offensive di UNC3886, i modelli di comportamento avversario del gruppo possono essere caratterizzati come sofisticati ed evasivi. Gli attaccanti cinesi si avvalgono di più strati di persistenza per mantenere l’accesso a lungo termine alle istanze mirate, assicurandosi di poter rimanere inosservati anche se uno strato viene scoperto e neutralizzato. Il gruppo è anche noto per mirare a più organizzazioni globali in diversi settori industriali ed è ritenuto responsabile dello sfruttamento di vulnerabilità zero-day nei dispositivi FortiOS e VMware, tra cui CVE-2023-34048, CVE-2022-41328, CVE-2022-22948 e CVE-2023-20867.
Dopo un riuscito sfruttamento delle vulnerabilità , UNC3886 sfrutta i rootkit pubblicamente accessibili REPTILE e MEDUSA per la persistenza a lungo termine e l’evasione del rilevamento. Gli attaccanti distribuiscono anche i malware MOPSLED e RIFLESPINE, che si affidano a piattaforme di terze parti fidate come GitHub e Google Drive per C2. Inoltre, raccolgono e abusano delle credenziali legittime utilizzando backdoor SSH per muoversi lateralmente tra le macchine virtuali guest operanti su VMware ESXi compromessi. UNC3886 tenta anche di estendere il proprio accesso ai dispositivi di rete del bersaglio compromettendo il server TACACS tramite LOOKOVE. Quest’ultimo è uno sniffer scritto in C che intercetta i pacchetti di autenticazione TACACS+, li decrittografa e salva i contenuti decrittografati in un percorso file designato.
Altri campioni malevoli personalizzati dal toolkit avversario UNC3886 includono la backdoor VIRTUALSHINE, che si affida ai socket VMCI di VMware per facilitare l’accesso a una shell bash, VIRTUALPIE, una backdoor basata su Python per il trasferimento di file, esecuzione di comandi arbitrari e stabilire shell inverse, e VIRTUALSPHERE, un modulo controller collegato a una backdoor basata su VMCI.
I difensori raccomandano che le organizzazioni aderiscano alle linee guida sulla sicurezza delineate nelle advisory VMware and Fortinet per minimizzare il rischio di attacchi furtivi di UNC3886 di crescente sofisticazione ed evasione. Con l’escalation delle minacce legate ai collettivi di hacking supportati dalla Cina, implementare capacità di difesa proattive è imperativo per rafforzare la postura di sicurezza informatica dell’organizzazione. Il completo set di prodotti di SOC Prime per l’Ingegneria di Rilevamento Alimentata dall’AI, la Caccia Automatica alle Minacce e la Validazione dello Stack di Rilevamento equipaggia i team di sicurezza con capacità all’avanguardia per identificare e sventare minacce emergenti prima che evolvano in incidenti sofisticati.
